リスクマネジメント
ヤマハ発動機グループにおけるリスクマネジメント、クライシスマネジメントおよび事業継続についての取り組みを紹介します。
リスクマネジメント体制
リスクマネジメント体制として、「リスクマネジメント規程」に基づき、社長執行役員が委員長を務める「サステナビリティ委員会」、および下部組織としてリスクマネジメント統括部門とリスクの主管部門で構成される「サステナビリティ推進会議」の「リスク・コンプライアンス部会」を設置し、グループ全体のリスク状況をモニタリングすると同時に、重点的に取り組む「グループ重要リスク」の選定、対策活動のチェックなどを行い、グループ全体のリスク低減を図っています。「リスク・コンプライアンス部会」は事業ラインから独立し、人事総務本部長が責任者を務めています。
またリスクの主管部門は、主管リスクについて対応方針、規程等を定めるとともに、本社各部門およびグループ会社に対して対応方針等に基づく対策活動の推進、活動モニタリングなどを行います。その実効性を担保するため、統合監査部門はリスク主管部門に対して監査を実施しています。
リスクマネジメント活動サイクル
リスクマネジメント活動は、以下のPDCAサイクルを回すことで推進しています。ヤマハ発動機グループでは、必要なリスクを網羅したリスク管理台帳を作成しており、リスク管理台帳を適切に管理・運用することにより、リスク低減を図っています。
グループ重要リスク
毎年、リスクの中でも特に重点的に予防・対策に取り組むべきものをグループ重要リスクに定めています。グループ重要リスクは、グループ全体のリスク評価結果に加え、グループ事業戦略、グループ内外の法令変更、環境変化および発生事案情報などを踏まえ、総合的に判断・選定されます。
2023年度グループ重要リスク項目
| リスク項目 | 背景 | 対策 |
|---|---|---|
| サイバーセキュリティ | ビジネスにおける情報システムへの依存度とその重要性が増大している中、サイバー攻撃やコンピューターウィルスの感染による個人情報・機密情報の漏洩防止、情報システム障害等を未然防止、業務継続を考慮した復旧体制が必要であることから選定しています。 | 策定したサイバーセキュリティ方針に基づいてハード・ソフト両面での対策を行うことで外部からの攻撃への防衛力を高め、また、万が一攻撃にあった時にも早期にこれを検出し被害を最小化する対策に取り組んでいます。 |
| 贈賄⾏為 | 腐敗防止の取り組みが各国・地域で加速しており、グローバルに事業活動を行う当社グループにおいて効果的な体制整備により法令違反の未然防止を図り、贈賄防止を強化する必要があることから選定しています。 | ヤマハ発動機グループ贈賄防止方針にもとづき、贈賄防止のコミットメントと贈賄防止体制をグローバルに推進し、研修やモニタリングとリスク評価に応じた措置により効果的かつ組織的に贈賄防止に取り組みます。 2021年より腐敗リスクの特に高い地域について対応を強化しており、この運用の定着のための活動を継続していきます。 |
| 人権侵害・ハラスメント | 【人権】本年9月に日本政府が「責任あるサプライチェーン等における人権尊重のためのガイドライン」を策定するなど、ビジネスと人権に関する社会的要請が高まっており、特に当社グループのサプライチェーンにおける人権対応を強化する必要があることから選定しています。 | 【人権】ヤマハ発動機グループ人権方針を策定し、当社グループの人権尊重への考え方を明確化するとともに、当社グループのサプライチェーンにおける人権への負の影響を特定、回避、緩和するための人権デュー・ディリジェンスを実施し、人権への負の影響に対応するための苦情処理メカニズムの整備を進めます。 |
| 【ハラスメント】ハラスメントに対する社会的な関心の高まりや、パワハラ防止法の中小企業への適用拡大を背景に、当社グループにおいてもハラスメントリスク低減活動を強化する必要があること。 | 【ハラスメント】ハラスメントを防止するための啓発、事案発生時の迅速・適切な対応、再発防止について見直し、効果的なリスク低減活動に取り組みます。 | |
| 製品品質に関する法令違反 | 製品品質に関する法令遵守は、お客様、地域社会の信頼に直結しており、厳格な管理がますます要請されています。また、世の中のCASE関連製品・サービスの普及・多様化や、循環型社会実現に合わせた新たな法規の制定と各国への拡大が予想されています。その変化に遅れることなく、全社で確実に対応することが必要であることから選定しています。 | 製品品質に関する法規対応が確実に取られるよう、法規情報の収集と展開、法規要件の織込み確認、等の活動に取組みます。また、新規事業に対して戦略的な法規活動を行います。 同時に、ISO9001に準拠したヤマハ発動機グループ品質保証規程の展開と併せ、2022年に発足したコーポレート法規管理部門を全社活動のハブとして、各事業の法規管理プロセスの基盤強化を行います。 |
| 設備機械等による業務中の死亡・重傷事案 | ヤマハ発動機にて本年上期に設備機械による重大な労働災害事故が発生しました。事業活動を行う上で、当社グループでは数多くの設備機械が使用されています。このような重大な労働災害を二度と発生させることがないよう、グループをあげて労働安全衛生のレベルを高める必要があることから選定しています。 | 設備機械の安全点検と必要な箇所への対策を推進するとともに、継続的な労働安全衛生レベルの維持・向上のため、グローバル方針・目標の策定、ガバナンス体制の整備、リスク評価に基づく本質安全化などに取り組みます。 |
クライシスマネジメントの体制と活動
ヤマハ発動機グループは、「緊急時初動対応規程」に基づき、事案発生時にその被害の最小化と早期収束を図っています。
グループで災害、事故またはコンプライアンス事案などが発生した場合、当該部門はあらかじめ定められたレベル判断基準に従って、ヤマハ発動機のリスクマネジメント統括部門またはリスク主管部門への報告を行います。報告された事案がグループ経営にかかわる、または複数の部門・会社がかかわるような重大な内容であった場合は、リスクマネジメント統括部門は、あらかじめ定められた対応チームを招集し、社長を長とする緊急対策本部等を設置し、事案に係る状況の把握、暫定対応を図ると同時に、必要に応じてお客さまおよび関係機関への報告を速やかに行います。
BCP(事業継続計画)の策定
想定されるリスクの中でも特に事業継続に影響を与えることが予想されるものへの備えとして、当社は「事業継続規程」を定め、対応に取り組んでいます。
当社はその主要拠点が静岡県に集中しており、南海トラフ巨大地震の影響が想定されます。
この備えとして、行政機関による被害想定を基に建物・設備などの耐震対策、津波への対応、水・食糧などの備蓄、緊急通信手段の整備、近隣グループ会社を含む全社一斉の避難訓練(一部の部門は夜間訓練を含む)の定期実施、安否確認訓練の定期実施、事業所別の初動対応訓練の実施といった防災・減災への取り組みを行っていますが、それに加え、従業員の生命・安全を最優先としつつも事業継続を確実にする目的で、BCPを作成しています。
当社の優先事業を選定し、復旧に向けたボトルネックの洗い出しとその対策、復旧対応手順の明確化と対応要員の事前選定、サプライチェーンの情報収集体制の構築など、ハード・ソフト両面に係る対策を網羅的、継続的に実施しています。
また、パンデミックに対しても、グループ各社が感染防止対策や事業継続上の課題を洗い出し、対応する計画を策定しています。
新型コロナウイルス感染症に対しても、「事業継続要領(新型インフルエンザ編)」に沿って対応し、社長が本部長を務める新型肺炎対策本部を設置し、情報の収集や対応方針の決定、情報発信を実施しました。また、将来的に発生しうる新たな感染症に備え、新型コロナウイルス感染症対策で得られた知識や経験を活かし継続的な取り組みを進めています。
サイバーセキュリティの取り組み
近年のサイバー攻撃は高度化・巧妙化しており、コンピューターウィルス感染や、個人情報・機密情報の漏洩、情報システム障害等のリスクが高まっています。ヤマハ発動機グループでは、お客さまにご利用いただく製品やサービス、情報資産の保護を目的とした「サイバーセキュリティ方針」を定めて対応を進めています。
マルウェア対策を含めた月次の脆弱性分析など、従来からの基礎的な防御対策に加えて、早期に異常を検知し対処するためにSOC(Security Operation Center) による監視や、CSIRT(Computer Security Incident Response Team)による対処態勢を整えて不測の事態に備えています。また、教育による社員のサイバーセキュリティ・リテラシー向上や、アセスメントによるグループ各社の状況把握と改善計画の策定等、継続的にサイバーリスクの低減に努めています。
なお、2022年度は、情報セキュリティ・サイバーセキュリティに関する違反はありませんでした。
- サイバーセキュリティ方針[PDF]
情報管理の取り組み
ヤマハ発動機グループでは2013年にグループ業務指針を制定し、機密管理・文書管理・個人情報保護・開示情報管理など情報管理全般におけるグループ全体の方針を決定し、活動を進めてきました。
情報通信技術の発達やビッグデータの利活用の拡大に伴い、2018年の欧州の個人情報保護法施行をきっかけに、各国で個人情報保護に関する厳格な法令が制定されつつあることから、2020年に情報管理グループ業務指針を改定し、個人情報保護体制の整備や、個人情報の取扱い(取得における通知・同意の取得、安全管理措置、本人の権利に関する請求への対応、漏えい時の対応など)に関するルールを定め、各国グループ会社とヤマハ発動機が協力してグローバルに対応を進めています。
また、同年「ヤマハ発動機グループプライバシーポリシー」を改定し、各国における個人情報保護に関する法令遵守を掲げています。
その他、情報管理に関して、毎年グループ内における取扱い状況のモニタリングおよびそれに基づく助言を実施するとともに、集団研修やe-ラーニングなどの教育・啓発活動を行うことを通じて、情報の適切な取扱いを徹底しています。
なお、2022年度は、お客さまのプライバシー侵害に関して規制当局等が違反と認めた申し立てはありませんでした。
